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Die folgendon An gab en sind den vom An mold or eingereichten Unterlagen entnommen 

Verfahren sowie Vorrichtung zur Erfassung, Obertragung und Verarbeitung sicherheitsgerichteter Signale 

Die Erfindung erlaubt die Anwendung der Funktechnik 
zur Obertragtung von NOT-AUS-, START-, STOP- sowie 
Verfahr- und Zustimmungssignalen von industriellen Be- 
arbeitungsmaschtnen wie beispielsweise numerisch ge- 
steuerten Werkzeugmaschinen und Robotem uber Funk. 
Auf zusatzliche Sicherungsma&nahmen von START- und 
Verfahrenssignalen mittels Zustimmungssignal kann ver- 
zichtet werden, sofern die Steuerungsfunktionen entspre- 
chende Sicherheitsanforderungen erfullen. Dazu werden 
sicherheitsgerichtete Signate auf Senderseite physika- 
lisch mindestens zweikanalig erfa&t, die erfaSten Daten 
logisch mindestens zweikanalig in sicherer Technik uber 
Funk ubertragen und die empfangenen Daten auf der 
Empfangerseite ebenfalls physikalisch mindestens zwei- 
kanalig verarbeitet und uberwacht. Neben den sicher- 
heitsgerichteten Signaldaten werden fur Oberwachungs- 
zwecke zusatzliche Sicherungsdaten erzeugt, mjt denen 
auf Empfangerseite eine Uberwachung durch Oberpru- 
fung eines Redundanzwertes zur Datensicherung auf 
Plausibititat sowie kreuzweisen Vergleich der Auswer- 
tungsergebnisse etc. vorgenommen wird. 




CM 



BUNDESDRUCKEREI 09.00 002 045/297/1 



14 



DE 199 20 

1 

Beschreibung 

Die Rrfindung bezieht sich auf ein Verfahren sowie eine 
Vorrichtung zur Erfassung, Obertragung und Verarbeitung 
sicherheitsgerichteter Signale mit mindestens einem Erfas- 
sungsmittel, edner Obertragungsstrecke und mindestens ei- 
nem Signalverarbeitungsmittel. 

Zum Steuern von Maschinen in Fertigungs anlagen in der 
Industrie, insbesondere von Werkzeugmaschinen und Robo- 
tern, werden Signale von BediengerSten oder Peripheriege- 
raten an eine Steuerungseinheit iibertragen. Dabei k?mn es 
sich bei Bedien- und Peripheriegeraten sowohl urn statio- 
nare als auch um mobile Rinheiten handeln. RegelmaBig 
miissen insbesondere sicherheitsrelevante Signale wie NOT- 
AUS-, NOT-HALT-, START-, STOP-, Zustimmungssignale, 15 
Verfahrtasten und sicherheitsgerichtete Eingangssignale zu- 
verlassig erfaBt, iibertragen und verarbeitet werden, um die 
Sicherheit des Bedienpersonals, der Maschinen und Anla- 
gen zu gewahrleisten. Auch bewegungsauslosende Signale 
z. B. Achsverfahren, Greifer-Auf und ahnliches gehoren zu 20 
dieser Problematic 

Deshalb erfolgt herkommlicherweise die Obertragung si- 
cherheitsgerichteter Signale im allgemeinen drahtgebunden. 
Nach dem Stand der Technik erfolgt die Erfassung von 
NOT-AUS, Zustimmung und sicherheitsrelevanten Ein- 25 
gangssignalen uber doppelte elektromechanische Schaltele- 
mente. Die Erfassung von Verfahrtasten, START und STOP 
hingegen erfolgt iiber einfache elektromechanische, elektri- 
sche oder elektronische Schaltelemente. 

FQr die Obertragung werden die Signale herkommlicher- 30 
weise iiber ein Bussystem, eine serielle Verbindung oder 
eine parallele Verbindung oder aber direkt iiber Leitungen 
iibertragen. 

NOT-AUS-Signale werden iiber zwei Leitungspaare zu 
sicherheitstechnischen Ausldseeinheiten gefilhrt Abhangig 35 
von derBetriebsart werden an START-, STOP- und Verfahr- 
tasten hingegen unterschiedliche Sicherheitsanforderungen 
gestelk. Die Obertragung der START-, STOP- und Verfahr- 
tastensignale erfolgt im allgemeinen iiber das genannte Bus- 
system, die serielle oder die parallele Verbindung. 1st mit 40 
diesen Signalen eine sicherheitstechnische Funktion ver- 
bunden, so werden die Signale nur in Zusammenwirkung 
mit Zustimmtastcn wirksam, die iiber Leitungen zur Auslo- 
seeinheit gefuhrt werden. Solche sogenannte Zu stimmtasten 
sind dabei gleichzeitig mit den Verfahrtasten zu betatigen. 45 
Sicherheitsrelevante Eingange werden uber eigene Leitun- 
gen gefuhrt. 

Die Obertragung selbst erfolgt herkommlicherweise iiber 
ein KabeL, welches neben den notwendigen Signalleitungen 
iiblicherweise auch Versorgungsleitungen fUr Strom bzw. 50 
Spannung fur die Bedieneinheit enthalt Das Kabel muB fur 
industrielle Einsatzbedingungen geeignet sein, was bedeu- 
tct, dafi clcktrischc Storungcn, mcchanischc Bclastungcn 
und chemische Einfliisse beriicksichtigt werden miissen. 

Die Verarbeitung der Signale wie NOT-AUS- und Zu- 55 
stimmsignalen erfolgt elektrisch zweikanalig. Die Verarbei- 
tung der START-, STOP- und Verfahrtasten erfolgt hingegen 
cinkanalig untcr Bcriicksichtigung cincs Zustimmsignals. 

Infolge der drahtgebundenen Verbindung zwischen 
Steuerungseinheit und Bedien- oder Peripheriegeraten erge- 60 
ben sich als Nachteile insbesondere die Kosten fur eine lei- 
tungsgebundene Verbindung, der dadurch verbundene In- 
stall all onsaufw and sowie eine geringere Mobilitat, War- 
tungsaufwand fur das Kabel, eine dadurch bedingte Unfall- 
gefahr, sowie die Notwendigkeit der bereits beschriebenen 65 
Zustimmtaste. 

Aufgabe der vorliegenden Erfindung ist es, ein Verfahren 
sowie cine Vorrichtung zum Erfasscn, Obcrtragcn und Vcr- 
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arbeiten sicherheitsgerichteter Signale zu schaffen, bei de- 
nen die im vorangehenden genannten Nachleile vermieden 
werden konnen. 

Unter sicherheitsgerichteten Signalen werden hierbei sol- 
s che Signale verstanden, bei welchen Fehler bei der Erfas- 
sung, Ubertragung und Auswertung zu einem Verlust von 
Sicherheitsfunktionen der Maschine und Anlage oder des 
Prozesses fiihren konnen. 

GemaB der vorliegenden Erfindung wird diese Aufgabe 
10 durch ein Verfahren zur Erfassung, Obertragung und Verar- 
beitung sicherheitsgerichteter Signale mit mindestens einem 
Erfassung smittel, einer Obertragung sstrecke und minde- 
stens einem Signal verarbei tun gsmittel dadurch gelftst, daB 

- sicherheitsgerichtete Signale auf einer Senderseite 
physikalisch mindestens zweikanalig erfaBt werden, 

- die erfaBten Daten logisch mindestens zweikanalig 
in sicherer Technik uber Funk an eine Empfangerseite 
iibertragen werden und 

- die empfangenen Daten auf der Empfangerseite 
ebenfalls physikalisch mindestens zweikanalig verar- 
beitet und uberwacbt werden. 

Eine entsprechende Vorrichtung zur Losung der vorange- 
henden Aufgabe nach der vorliegenden Erfindung ist da- 
durch gekennzeichnet, daB 

- die Erfassungsmittel fur sicherheitsgerichtete Si- 
gnale auf einer Senderseite physikalisch mindestens 
zweikanalig ausgestaltet sind, 

- eine logisch mindestens zweikanalige Funkstrecke 
in sicherer lechnik mit je einem Funkmodul auf Sen- 
derseite und Empfangerseite vorgeschen ist und 

- die Signalverarbeitungsmittel auf der Empfanger- 
seite ebenfalls physikalisch mindestens zweikanalig 
ausgestaltet sind. 

Durch die vorliegende Rrfindung wird somit eine Funk- 
iibertragung von Signalen zur Steuerung von Maschinen, 
GerMten und Prozessen einschlieBlich sicherheitsrelevanter 
Signale wie NOT-AUS, NOT-IIALT, START, STOP, Zu- 
stimmungssignale, Verfahrtasten und sicherheitsgerichteter 
Eingangssignale sowie bewegungsauslosende Signale cr- 
moglicht. Auch wird eine sichere Auswertung der genann- 
ten Signale durch Software realisierbar. Weiterhin ist ge- 
wahrleistet, daB ein einzelner Fehler bei der Erfassung, 
Obertragung und Auswertung nicht zu einem Verlust von 
Sicherheitsfunktionen filhrt 

Nach einer ersten vorteiihaften Ausgestaltung erfolgt die 
Erfassung der sicherheitsgerichteten Signale, indem redun- 
dante Signale beispielsweise mittels doppelter elektrome- 
cbanischer, elektrischer oder elektronischer Eingabeele- 
mcntc crzcugt werden. Die Erfassung vcrschicdcncr rcdun- 
danter Signale erfolgt zweikanalig durch zwei Erfassungs- 
bausteine und ist entweder in Hardware oder in Hard- und 
Software realisierbar. Mit den erfaBten Signalen werden von 
jedem Erfassung sbaustein Sicherungsdaten fur die Signal- 
iibcrtragung bcrcitgcstellt, die cine Obcrwachung cimog- 
licht auf 

- falschen Ab sender oder falschen Empfanger, 

- Verfalscbung der Daten, 

- Verlust von Daten und 

- Wiederhoiung von Daten. 

Dabei werden von jedem Erfassungsmittel aus den Si- 
gnaldaten fur Oberwachungszwecke zusatzliche Siche- 
rungsdaten crzcugt. 
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Die Obertragung erfolgt nach einer weiteren vorteilhaften 
Ausgestaltung der Erfindung (lurch einen Sendebauslein, je 
ein Sende- und Empfangsmodul und einen Rmpfangerbau- 
stein. Sende- und Empfangsbaustein sowie die Funkmodule 
bestehen jeweils aus verschiedenen Komponenten. Die 5 
Funkiibertragung erfolgt in digitaler Technik. Die Signal- 
verarbeitung fur die Obertragung kann in wesentlichen 'leile 
in Software realisiert sein. Der Sendebaustein tlbemimmt 
zyklisch die Signaldaten und die zugehorigen Sicherungsda- 
ten von beiden Erfassungsbausteinen. Die Daten beider Ka- 10 
nale werden dann gemeinsam per Funk ubertragen. Vom 
Kmpfangerbaustein werden die empfangenen Daten beider 
Kanale wieder getrennt. Zur Verarbeitung der Daten und zur 
Ausfuhrung der Oberwachungsfunkuon erfolgt dann die 
Weitergabe der Daten an den jeweiligen Auswerte- und 15 
Oberwachungsbaustein fur Kanal 1 und Kanal 2. 

Die Oberwachung und Verarbeitung der Signale erfolgt 
nach einer weiteren vorteilhaften Ausgestaltung der Fj-fin- 
dung ebenfalls zweikanalig, insbesondere auf zwei separa- 
ten Prozessoren, wie beispielsweise Signalprozessoren. Auf 20 
jedem Kanal erfolgt eine Oberwachung der Daten nach fol- 
genden Kriterien: 

- falscher Absender oder f alscher Empfanger, 

- Verfalschung der Daten bei der Obertragung, 25 

- Verlust von Daten, 

- WiederhoLung von Daten und 

- Unterhrechung der Daten. 

In jedem Kanal erfolgt eine Oberwachung eines Zeitkrite- 30 
Hums, was zur Folge hat, daB sicherheitsrelevante Funktio- 
nen in der Regel nach einer vorgegebenen Zeitdauer nach 
Rrfassung der Sign ale ausgclost werden. Dies wird nach der 
vorliegenden Erfindung gewahrleistet, wenn die Signale irn- 
mer nach einer vorgegebenen Zeitdauer zur Verarbeitung 35 
ubertragen werden. 

In jedem Kanal erfolgt eine Oberwachung der Funkdons- 
fahigkeit eines NOT-AUS- und STOP-Eingabeelernentes 
sowie der zugehorigen Funktion des jeweiligen Erfassungs- 
bausteins durch Zwangsdynamisierung. 40 

Der Fehleraufdeckung erfolgt nach der Auswertung in je- 
dem Kanal durch einen Vergleich der Auswertungsergeb- 
nissc. 

Die auszuldsenden Reaktionen nach Aufdeckung eines 
Fehlers hangen von verschiedenen Faktoren wie der jeweili- 45 
gen Anwendung, dem jeweiligen Sicherheitskonzept, der je- 
weiligen Maschine, Sleuerung bzw. Anlage ab. 

Weiterhin konnen etwaige Sicherungsverfahren durch 
Funkiibertragung unabhangig von den beschriebenen Ober- 
wachung gegebenenfalls zusatzlich durchgefuhrt werden. 50 

Die Verarbeitung fuhrt zur Ausfuhrung der durch einge- 
gebene Signale auszuldsenden Steuerungsfunktion. Die 
AusfUhrung der Steuerungsfunktion kann jc nach Sichcr- 
heitsanforderung ebenfalls zweikanalig erfolgen. Die zwei- 
kanalige Erfassung, die sichere Obertragung und die zwei- 55 
kanalige Oberwachung sowie Verarbeitung ermoglichen 
den Verzicht auf ein zusatzliches Zustimmungs signal — z. B. 
cine Zustimmungstastc wenn die nachfolgcndcn Stcuc- 
rungsfunkdonen entsprechend in sicherer Technik ausge- 
ftihrt sind. 60 

Nach einer weiteren vorteilhaften Ausgestaltung der Er- 
findung wird zusatzlich zu den Signaldaten und Sicherungs- 
daten ein Redundanzwert. zur Datensicherung ergSnzt und 
ubertragen. Neben einer Oberwachung durch kreuzweisen 
Datenvergleich beider Kanale kann die Sicherheit der Ober- 65 
tragung durch eine Plausibilitatsprufung dieses Redundanz- 
wertes zur Datensicherung weiter gesteigert werden. 

Nach einer weiteren vorteilhaften Ausgestaltung des Vcr- 
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fahrens sowie der Vorrichtung nach der vorliegenden Erfin- 
dung wird eine weitere Erhohung der Sicherheit erreicht, in- 
dem jedes Datenpaket zusatzlich mit einem Zahlerwert ver- 
sehen wird, welcher auf Senderseite erzeugt wird, wobei der 
Zahlerwert fur jedes zu Obertragende Datenpaket inkremen- 
tiert oder dekremendert wird und der Redundanzwert zur 
Datensicherung iiber Signaldaten, Sicherungsdaten und 
Zahlerwert gebildet wird. 

Nach einer weiteren vorteilhaften Ausgestaltung des Ver- 
fahrens sowie der Vorrichtung gemaB der vorliegenden Er- 
findung erfolgt eine besonders effiziente Funkiibertragung 
der Daten, indem 

- auf der Senderseite jedes Datenpaket in einen impli- 
ziten und einen expliziten Datenteil getrennt wird, wo- 
bei der implizite Datenteil solche Daten umfaBt, die auf 
Empfangerseite bekannt sind, und 

- zur Minimierung des zu Ubertragenden Daten volu- 
mens nur der explizite Teil des Datenpakets per Funk 
Ubertragen wird und 

- auf der Empfangerseite das Datenpaket aus den be- 
kannten Intbrmadonen und dem empfangenen expbzi- 
ten Teil rekonstruiert wird. 

Besonders vorteilhaft kann die Erfindung in der Verbin- 
dung mit industriellen Bearbeitungsmaschinen oder Ferti- 
gungsanlagen, insbesondere numerisch gesteuerten Werk- 
zeugmaschinen oder Robotern, eingesetzt werden. 

Dabei ist neben einer Ausgestaltung in zweikanaliger 
Technik selbstverstandlich auch eine Realisierung mit mehr 
als zwei Kanalen ebenfalls nach der Lehre gemaB der vorlie- 
genden Erfindung moglich. 

Der Aufhau cincr sichcrcn Funkdatcnvcrhindung nach 
der vorliegenden Erfindung laCt sich besonders vorteilhaft 
durch ein Verfahren realisieren, welches sich dadurch aus- 
zeichnet, daB ein Empfanger beim Sender angemeldet wird, 
indem 

- Kommunikationsadressen fur Senderseite und Emp- 
fangerseite fur jeden Kanal eindeudg festgelegt wer- 
den, 

- eine Funkverbindung zwischen Sender und Empfan- 
ger hcrgcstcllt wird, 

- die Kommunikationsadressen zum Empfanger in 
Form eines Datenpakets Ubertragen werden, wobei der 
Anmeldevorgang abgebrochen wird, 

- wenn eine vorgegebenes ZeiLfensler uberschrilten 
wird oder 

- ein Verlust oder eine Wiederholung von Daten auf- 
tritt oder 

- ein kreuzweiser Vergleich zur Aufdeckung eines 
Fehlers fuhrt oder 

- kcinc Plausibilitat des Rcdundanzwcrtcs zur Daten- 
sicherung erkannt wird. 

Aus dem Einsatz des Funksystems zur Obertragung von 
sicherheitsgerichteten Signalen zur Steuerung von u. a. Ma- 
schincn nach der vorliegenden Erfindung ergeben sich somit 
folgende Vorteile: 

- keine Kosten fur eine leitungsgebundene Verbin- 
dung, 

- bei stafionaren Gerfiten ein geringerer Tnstallations- 
aufwand, da keine drahtgebundene Verbindung instal- 
liert werden muB, 

- bei portablen G era ten eine groBere Mobilitat, keine 
Gewichtsbelastung durch ein Kabel, keine Unfallge- 
fahr durch ein Kabel, kcin Wartungsaufwand fur ein 
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Kabel und es entfallt der Aufwand flir Zus dmmungs ta- 
sler. 

Die Erfindung eriaubt somit die Anwendung der Funk- 
technik zur Obertragung von NOT-AUS-, START-, STOP- 5 
sowie Verfahr- und Zustimmungssignalen uber Funk. Auf 
zusatzliche Sicherung von START- und Verfahrsignalen 
mittels Zustimmungssignalen - insbesondere Zustimmungs- 
tastem - kann verzichtet werden, sofern die Steuerungs- 
funktionen entsprechende Sicherheitsanforderungen erful- to 
len. 

Weitere Vorteile und Details der vorliegenden Erfindung 
ergeben sich an hand der folgenden Darstellung eines vor- 
teilhaften Ausfuhrungsbeispiels und in Verbindung mit den 
Figuren. In den Rguren sind Elemente mit gleicber Funktio- 15 
nalitat der besseren Ubersichtlichkeit halber mit gleichen 
Bezugszeichen gekennzeichnet Ks zeigen: 

Fig. 1 ein Blockschaltbild einer Vorrichtung gemaB der 
vorliegenden Erfindung, 

Fig, 2 eine Datenstruktur eines Datenpakets, 20 

Fig. 3 eine Datenstruktur eines Funktelegramms mit zwei 
logischen Verbindungen und 

Fig. 4 ein Blockschaltbild eines Automatisierungssy- 
stems mit einem Handgerat gemaB der vorliegenden Erfin- 
dung. 25 

In der Darstellung gemaB Fig. 1 ist ein stark abstrahiertes 
Blockschaltbild einer 'Vbrrichtung gezeigi, die in der Dar- 
stellung nach Fig. 4 mit einem hoheren Detailierungsgrad 
beschrieben ist. Nach Fig. 1 sind auf der linken Seite Einga- 
bemittel schematisch skizziert, die mit einer erster und zwei- 30 
ten Erfassungseinheit EMI und EM2 verbunden sind Dem 
Erfassungsmittel EMI ist ein erster .Kanal Kl zugeordnet, 
iibcr den die Ausgangssignalc zu cincm Scndcbaustcin S gc- 
fuhrt werden. Das gieiche geschieht mit den Ausgangssi- 
gnalen des Erfassungsmittels EM2 iiber einen Kanal K2. 35 
Der Sendebaustein S wiederum steuert ein Funkmodul FM1 
an, welches iiber eine Funkverbindung F Daten an ein zwei- 
tes Funkmodul FM2 sendet bzw. umgekehrt von diesem 
empfangt Uber das zweite Funkmodul FM2 gelangen die 
Daten zu einem Empfangerbaustein E, indem sie auf die 40 
senderseitig bereits existierenden Kanale Kl und K2 aufge- 
trennt werden und iiber jeden Kanal einem zugeordneten 
Vcrarbcitungsmittcl VM1 bzw. VM2 zugcfuhrt werden, 
iiber welche dann entsprechende Steuemngsfunktionen aus- 
gelost werden. Solche Steuerungsfiinktionen sind schema- 45 
tisch auf der rechten Seite angedeutet. 

Die Darstellung nach Fig. 4 zeigt ein Blockschaltbild mil 
einem Handgerat H und einem Automatisierungssystem A, 
welches zwei unabhangige Empfangsprozessoren PI und P2 
fur eine Dateniibertragung von sicherheitsrelevanten Tasten 50 
(NOT-AUS-, START-, STOP-, Verfahrtasten etc.) iiber Funk 
realisiert. Als Funktechnik kann z. B. der digitale Datenfunk 
nach dem Funkstandard DECT (Digital enhanced cordless 
telecommunication) realisert werden. Neben den sicher- 
heitsrelevanten lasten NOT_AUS, Tl . . . Tn besitzt das 55 
Handgerat H eine zusatzliche sicherheitsrelevante Taste fur 
die Inbetriebnahme und fur die Initialisierung der Funkver- 
bindung cine Funkanmcldctastc (nicht gczcigt). Die Stcuc- 
rung A ist mit einem Funkaktivierungstaster oder -schalter 
ausgestattet (ebenfalls nicht gezeigt), welcher in sicherer 60 
Technik realisiert ist. 

Jede sicherheitsrelevante Taste besilzt zwei Schaltkon- 
takte C, D bzw. CI, Dl. Bei START- oder Verfahrtasten lie- 
fern die Scbaltkontakte zwei invertierte Signale. Ist der Ta- 
ster nicht betatigt, liefert der eine Kontakt einen High-Pegel, 65 
der andere einen Low-PegeL NOT-AUS und STOP liefem 
zwei gleichgerichtete Signale, indem beide Kontakte als 
Oftncr ausgcf iihrt sind. In der in der Darstellung nach Fig. 4 
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beschriebenen Ausfunrungsform wird der geschlossene 
SchalterzusLand beispielhafl durch Low-Pegel signalisiert 
Die zwei Schaltkontakte jedes Schaltelementes NOT_AUS, 
Tl . . . Tn werden jeweils an einen Hardwarebaustein HW1 
bzw. HW2 gefuhrt Jeder Hardwarebaustein setzt die Signal- 
pegel in binare Daten una. Low zu 0 (NULL) und High zu 1 
(EINS). Die Daten werden dann als Tasteninformationen in 
einem Register DATA fur die tJbertragung zur Verfugung 
gestellL Zusatzlich werden in weiteren Regis tem 11 bis 23 
zur Verfiigung gestellk 

- Sendeadresse (Sendeprozessor PS) oder Empfange- 
radresse (Empfangsprozessor PI bzw. Empfangspro- 
zessor P2) 12 bzw. 22, Zahlerwert 13 bzw. 23, 

- Redundanzwert zur Datensicherung CRC bzw. 
CRC2 und 

- Lange dieser Daten 11 bzw. 12. 

In den Hardwarebausteinen HW1 bzw. HW2 wird bei je- 
dem Lesezugriff ein Zahler-Wert inkrementiert und ein 
Hardware- Redundanzcheck durch CRC-Bildung uber die 
Lange, Sendeadresse, Empfangeradresse, Zahlerwert und 
Tasteninformation durchgefUhrt (CRC bedeutet Cyclic Red- 
undancy Check, ein dem Fachmann bekanntes Verfahren). 
Beim Zahler handelt es sich beispielsweise urn einen Hard- 
ware-Zahler, der bei Verbindungsaufbau mit einem An- 
fangswerl geladen wird. Bei jedein LesezugruT auf die si- 
cherheitsgerichtete Tasteninformation wird dieser Wert in- 
krementiert (selbstverstandlich ist auch eine standige Dekre- 
mentierung moglich) und der Wert iiber die Funks trecke 
ubertragen. Durch den gegenuber der letzten sicherheitsge- 
richteten Information inkrementierten Zahlerwert wird auf 
den Empfangcrprozcssorcn PI bzw. P2 die Authcntizitat der 
Kanalinformation bestatigt 

Vom Sendeprozessor PS werden die Daten beider Hard- 
warebausteine HW1 und HW2 in einem fest eingestellten 
Zyklus (z. B. alle 30 msec) ausgelesen und in einem Daten- 
paket zusammengesfa8t. Der Sendeprozessor ttben|ibt die- 
ses Datenpaket an das erste Funkmodul FM1 zur tJbertra- 
gung Uber die Funks trecke F. 

Auf der Empfangerseite werden die Daten vom Funkmo- 
dul FM2 iiber die entsprechende Antenne AT2 empfangen 
und an - hicr beispielhafl - Empfangsprozessor P2 ubertra- 
gen. Der Empfangsprozessor P2 fuhrt die Oberwachung der 
Daten fur Kanal K2 durch. Die Daten fxir Kanal Kl werden 
an den Empfangsprozessor PI ubergeben und von diesem 
uberwacht 

Tn der Darstellung nach Fig. 2 ist. die Datenstruktur eines 
solchen Datenpaketes skizziert Die Daten beider Kanale Kl 
und K2 werden in einem Datenpaket zusammengefafit und 
dieses iiber einen Funkkanal wie oben geschildert ubertra- 
gen. Daten eines tJbertragung skan als stellen damit eine lo- 
gischc Verbindung dar. Das Datenpaket wird dazu in einen 
implizierten Teil IM_T und einem expliziten Teil EX_T auf- 
geteilt Der implizierte Teil IM_T enthalt die Informationen 
zur Lange 1, Empfangsadresse 2, Sendeadresse 3 und den 
hoherwertigen Teil MSB des Zahlers 4. Der explizite Teil 
EX_T enthalt den nicdcrwcrtigcn Teil T^B des Zahlers 5, 
die Tasteninformation 6 und den Redundanzwert CRC. Die 
Darstellung nach Fig* 2 stellt somit die Daten eines Ubertra- 
gungskanals Kl oder K2 und damit eine logische Verbin- 
dung dar. Um die Anzahl der zu senden Daten zu miniiiiie- 
ren, werden die Daten des impliziten Teils TM_T nicht fiher- 
tragen, da diese Daten in den Empfangerprozessoren PI 
bzw. P2 hinterlegt und damit bekannt sind. 

Dabei dient die Empfangeradresse der eindeutigen Emp- 
fangeridentifikation bei Auswertung der iibertragenen 
Struktur im Empfangsprozessor PI bzw. Empfangsprozcs- 
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sor P2. Die Sendeadresse dient der eindeutigen Senderiden- 
LiGkalion bei Auswertung der uberlragenen Slruklur im 
Empfangspnozessor PI bzw. P2. Der Zatiler wurde bereits 
im vorangehenden erlautert. Der hoherwertige leil MSB des 
Zahlers wird durch Zahlertiberlaufe auf den Empfangerpro- 5 
zessoren PI bzw. P2 ermittelt, der vollstandige Zahlerwert 
wird aus hoherwertigem 'leil MSB und niederwertigem 'leil 
LSB zurtickgewonnen. Die Tasteninformation stellt den 
EIN/AUS-Zustand der Tastenschaltkontakte dar. Der Red- 
undanzwert CRC wird aus den Elementen Lange, Empfan- io 
geradresse, Sendeadresse, Zahlerwert und der Tasteninfor- 
mation gebildet. Als CRC-Polynom wird beispielsweise ein 
irreduzibles, primitives Polynom verwendet 

Ober die Funkstrecke wird der explizite Teil EX_T der 
obenbeschriebenen Struktur Ubertragen. Diese Daten beider 15 
Kanale Kl und K2 finden sich in den Nutzdaten des Funk- 
Telegramms als zwei logische Verbindungen wieder, deren 
Datenabfolge schem arisen in der Darstel lung nach Fig. 3 ge- 
zeigt ist. Zusammen mit der nicht sicherheitsrelevanten In- 
formation, die zwischen Handgerat H und Automatisie- 20 
rungssystem A ausgetauscht werden soil, hat ein Funk-Tele- 
gramm beispielsweise folgenden Aufbau: 

Auf ein Funkprotokoll FP folgt der explizite Teil ftir Ka- 
nal 1 EX_K1, darauf der explizite Teil fur Kanal 2 EX_K2 
und darauf die nicht sicherheitsrelevanten Daten. Nach die- 25 
sem Nutzdaten-Funk folgt wiederum ein Funk-Protokoll FP 
usw. 

Bevor eine sichere Kommunikation aufgebaut werden 
kann, muB das Handgerat bei der Steuerung angemeldet 
werden. Diese Anmeldung muB fur jedes Kommunikations- 30 
paar (Ilandgerat/Steuerung) einmalig durchgefuhrt werden. 

Bei der Anmeldung werden die Kommunikationsadres- 
scn fur Handgerat und Automatisicrungsgcrat cindcutig 
festgelegt: Fiir Handgerat und Automatisierungsgerat wird 
jeweils je Kanal eine Sender- bzw. Empfangeradresse fest- 35 
gelegt. Pro Verbindung werden also vier Adressen benotigt. 
Es besleht dadurch eine eindeutige Zuordnung zwischen 
Handgerat und Steuerung, die auch durch Anzeigen bzw. 
durch eine festaufgebrachte Kennzeichnung signalisiert 
werden kann. Das Verfahren dieser Adressenvergabe ist im 40 
folgenden beschrieben: 

Fiir die Anmeldung erfolgen Bedienhandlungen an fol- 
genden Bcdicnclcmcntcn: 
an der Steuerung: 

45 

- Funkaktivierungsschalter (z. B. Schlusselschalter) 
mil folgenden Stellungen 

- 0 AUS 

- 1 Anmelden 

- 2 Sichere Funkkommunikation 50 
am Handerat 

- Funk-Ein-Aus-Taster. 

55 

Die Anmeldung muB innerhalb einer fest vorgegebenen 
Zeit durchgefuhrt werden (z, B. CO Sekunden). 

1. Funkaktivierungsschalter in Stellung "Anmelden" 
bringen und Handgerat einschalten, dadurch erfolgt der 60 
Aufbau der Funkverbindung. Dieser Vorgang kann 
durch Eingeben eines Passworts und Sicherheilscodes 
flir Maschine und Handgerat vor MiBbrauch oder ver- 
sehentlicher Ausfiihrung geschiitzt werden. 

2. Fiir das Anmeldeverfahren sind die Adressen von 65 
Sender und Empfanger immer gleich (siehe unten). Die 
verwendeten AdreBwerte 01 h und Feb sind bei der spa- 
tcrcn AdrcBbcstimmung ausgcschlosscn. Vom Handge- 



rat werden eine fest vorgegebene Anzahl von An- 
melde-Dalenbloeken (z. B. 200) gesendel. Die An- 
melde-Datenblocke sind gemSB der ohen beschriehe- 
nen Datenstruktur (Fig. 2) beispielhaft mit folgenden 
Werten aufgebaut: 

- Sender 1 = Feh 

- Sender 2 = Olh 

- Empfanger 1 = Olh 

- Empfanger 2 = Feh 

- Zahlerwert = F000 OOOOh 

Von beiden Empfangerprozessoren erfolgt eine t)ber- 
wachung nach alien weiter unten beschriebenen Krite- 
rien. Jeder erkannte Fehler flihrt. zum Abbruch der An- 
meldung. 

3. Wahrend Anmelde-Datenbldcke gesendet werden, 
ist am Handgerat die Funk- Ein- Aus-Taste (sicherheits- 
relevant) fiir eine begrenzte Zeit (z. B, 1 Sekunde) zu 
betarigen. WShrend dieser Zeit ist an der Steuerung der 
Funkaktivierungsschalter in Stellung 2 zu bringen. 

4. Ausgelost durch den Funkaktivierungsschalter wer- 
den von einem Empfangsprozessor nacheinander vier 
Zufallszahlen generiert und an das Handgerat ubermit- 
telt. Ftir die Zahlen gilt: 01 H < Zufallszahl < Feh, d. h. 
die Werte 0, 1, 254 und 255 sind ausgeschlossen. 

5. Vom Handgerat wird dann eine fest vorgegebene 
Anzahl von Datenblocken (z. B. 2 Datenblocke) gesen- 
det, wobei im ersten Datenblock der erste Zufallswert 
als Senderadresse 1 angenommen wird und dieser erste 
Zufallswert gleichzeitig im expliziten Teil als Zahler- 
wert Ubermittelt wird. In weiteren Datenblocken wird 
dieser Zahlerwert inkrementiert. 

C. Vom Handgerat wird dann eine fest vorgegebene 
Anzahl von Datenblocken (z. B. 2 Datenblocke) gesen- 
det, wobei im ersten Datenblock der zweite Zufallswert 
als Senderadresse 2 angenommen wird und dieser 
zweite Zufallswert gleichzeitig im expliziten Teil als 
Zahlerwert ubermittelt wird. In weileren Datenblocken 
wi rd di eser Zahlerwert inkrementiert. 

7. In der gleichen Weise werden die Empfangeradres- 
sen in weiteren Datenblocken an die Empfangerprozes- 
soren zuruckubermittelt 

8. Vom Handgerat werden dann Datenblocke mit dem 
folgenden Aufbau gesendet: 

- Sender 1 wie festgelegt 
Sender 2 wie festgelegt 

- Empfanger 1 wie festgelegt 

- Empfanger 2 wie festgelegt 

Als erster Zahlerwert ist festgelegt: 

- Zahlerwert = der fortlaufend inkrementierte zu- 
letzt eingetragene Wert. 

Von beiden Empfangerprozessoren erfolgt eine Ober- 
wachung nach alien weiter unten beschriebenen Krite- 
ricn. Jcdcr erkannte Fchlcr fUhrt zum Abbruch der In- 
itialisierung. 

9. Nun muB die Anmeldung durch folgende Bedien- 
handlung beendet werden: Am Handgerat ist die Funk- 
Ein-Aus- Taste (sicherheitsrelevant) fur eine begrenzte 
Zeit (z. B. 1 Sckundc) zu betatigen. Wahrend dieser 
Zeit ist an der Steuerung der Funkaktivierungsschalter 
in die Stellung 0 zu bringen. 

Von beiden Empfangerprozessoren erfolgt bei alien Da- 
tenblocken eine Uberwachung nach alien weiter unten be- 
schriebenen Kriterien. Jeder erkannte Fehler fuhrt zum Ab- 
bruch der Anmeldung. Ausnahmen sind die Schritte 5 bis 7. 
Die Anderung der impliziten Adressen erkennen die Emp- 
fangerprozessoren anhand eines Fehlers bei der CRC-Ober- 
prufung. Hicr wird dann crwartct, daB der jeweils folgende 



DE 199 20 299 A 1 



10 



Datenblock alien tJberwachungskriterien wieder geniigL 
Zusalzlich wird von den Einpfangerprozessoren uber- 

wacht, dafi das ganze Anmeldungsverfahren innerhalb der 

obengenannten fest vorgegebenen Zeit abgeschlossen wird. 

Sonst erfolgt ebenfalls ein Abbruch. 5 
Damit sind die zum Aufbau einer sicheren Verbindung 

bendtigten Adressen zwischen Sender und Empfanger ein- 

deutig festgelegt 

Zur Initialisierung der Kornrnunikation: 

Zum Aufbau einer sicheren Verbindung muB die folgende io 

Initialisierung durchgefiihrt werden. 

1. Durch eine Bedienhandlung am Handgerat (Aus- 
wahl der Maschine) wird die Funk- Verbindung aufge- 
baut Vom Handgerat werden Datenblocke gemaB der is 
oben beschriebenen Datenstruktur mit folgenden Daten 



- Sender 1 wie bei Anmeldung festgelegt 

- Sender 2 wie bei Anmeldung festgelegt 

- Empfanger 1 wie bei Anmeldung festgelegt 20 

- Empfanger 2 wie bei Anmeldung festgelegt 

- Zahlerwert = 0000 OOOOh 

Von beiden Empfangerprozessoren erfolgt eine tjber- 
wachung nach alien weiter unten beschriebenen Krite- 
rien. Jeder erkannte Fehler fuhrt zum Abbruch der In- 25 
itialisierung. 

2. Innerhalb einer fesL vorgegebenen Zeit (z. B. 60 Se- 
kunden) ist am Handgerat die Funk-Ein-Aus-Taste (si- 
cherheitsrelevant) fur eine begrenzte Zeit (z. B. 1 Se- 
kunde) zu betatigen. Wahrend dieser Zeit ist an der 30 
Steuerung der Funkaktivierungsschalter in Stellung 2 
zu bringen. Damit ist die sichere Verbindung aufge- 
baut. 

Von beiden Empfangerprozessoren erfolgt eine Oberwa- 35 
chung nach alien weiter unten beschriebenen Kriterien. Je- 
der erkannte Fehler fiihrt zum Abbruch der Initialisierung. 

Zum Abbau der Kommunikation: 
Der gezielte Abbau der Verbindung erfolgt durch aberma- 
lige Betatigung der Funk-Ein-Aus-Taste am Handgerat und 40 
Ausschalten am Funkaktivierungssch alter (Stellung 0). 

Uberwachung und Auswertung der Daten auf Empfanger- 
scitc: 

Auf der Empfanger seite erfolgt die tjberwachung und Bear- 
beitung der Daten auf zwei unabhangigen Prozessoren 45 
(Empfangsprozessor 1 und Empfangsprozessor 2) in glei- 
cher Weise. 

Plausibm't^suberprilfung der Langenangahe: 
Die Langenangabe wird nicht iibertragen, sondern ist Be- 
standteil des impliziten Teils der Daten. Der Wert ist, wie 50 
oben beschrieben, fest vorgegeben. Die Ermittlung der Posi- 
tion der Daten, des Zahlerwertes und des CRC-Wertes im 
cxplizitcn Tcil der Daten erfolgt mit Hilfc des vorgegebenen 
Langenwertes. Die Richtigkeit der ausgelesenen Werte 
hangt also von der Richtigkeit des Langenwertes ab. Durch 55 
die im folgenden beschriebene Ubeiprufunjg der ubertrage- 
nen Werte erfolgt also gleichzeitig eine Uberpriifung des 
Langenwertes. 

Uberpriifung auf Verfalschung der Daten: 
Die Dberpriif ung auf Verfalschung der Daten erfolgt mittels 60 
des ubertragenen CRC-Anhangs. Auf der Empfangerseite 
wird aus den impliziten Daten 



- Lange 



65 



Senderadresse 
Zahlerwert (3 MSB) 



und den ubertragenen expliziten Daten 

- Zahlerwert (1 

- Sichere-Tastensignale 

ein CRC-Vergleichswert bestimmt (wie oben beschrieben). 
Dieser wird mit dem ubertragenen CRC-^rt verglichen. 

Oberprufung von Sender- und Ernpf ingeradresse : 
Empfanger- und Absenderadressen werden nicht ubertra- 
gen, gehen aber in die CRC-Bestimmung ein. Deshalb ist 
die oben beschriebene Oberpriifung auf Verfalschung der 
Daten gleichzeitig eine Uberpriifung der richtigen Sender- 
und Empfangeradressen. 

Uberpriifung auf Verlust und Wiederholung von Daten: 
Durch Vergleich des Zahlerwenes des aktuellen Datenpak- 
tes mit dem Zahlerwert des vorherigen Datenpaktes, wird 
die Aufeinanderfolge von Datenpakten ermittelt und damit 
ein Verlust oder eine Wiederholung von Datenpaketen er- 
kannt. 

Oberpriifung auf Obertragungsstorung: 
Eine Unterbrechung der Funkverbindung bzw. der gesamten 
Kom m u nikationsstrecke wird durch eine Lebenszeichen- 
Uberwachung realisiert. Es wird erwartet, daB regelmSBig 
Datenpakte empfangen werden. Fur den maximalen zeitli- 
chen Ab stand zweier aufeinanderfolgender Pakete wird eine 
Zeitdauer festgelegt Wird diese Zeit uberschritten, so gilt 
die Obertragung als gestorL 

Kreuzweiser Vergleich: 
Zur weiteren Fehleraufdeckung wird zwischen beiden Ka- 
nalen ein kreuzweiser Datenvergleich durchgefUhrt 

Wird nach den obengenannten Kriterien ein Fehler er- 
kannt, so erfolgt kein Aufbau der Verbindung. 'Wird kein 
Fehler crkannt, so gilt die Verbindung als sichcr und cs er- 
folgt eine erste Auswertung der Signal- bzw. Tastendaten. 

Patentanspruche 

1 . Verfahren zur Erfassung, tthertragung und Verar- 
beitung sicherheitsgerichteter Signale mit mindestens 
einem Erfassungsmittel (EMI, EM2), einer Obertra- 
gungsstrecke (FMl, F, FM2) und mindestens einem Si- 
gnalverarbeitungsmittel (VM1, VM2), dadurch ge- 
kennzeichnet, daB 

- sicherheitsgerichtete Signale auf einer Sender- 
seite (S) physikalisch mindestens zweikanalig 
(Kl, K2) erfaBt (EMI, EM2) werden, 

- die erfafilen Dalen logiscb mindestens zweika- 
nalig in sicherer Technik Uher Funk (FMl, F, 
FM2) an eine Empfangerseite (E) iibertragen wer- 
den und 

- die empfangenen Daten auf der Empangerseite 
(E) ebenfalls physikalisch mindestens zweikana- 
lig (Kl, K2) vcrarbcitct (VM1, VM2) und ubcr- 
wacht werden. 

2. Verfahren nach Anspruch 1, dadurch gekennzeich- 
net, daB zur mindestens zweikanaligen Verarbeitung 
als Signaldaten redundante Signale mittels mindestens 
doppcltcr clcktromcchanischcr, clcktrischcr oder clck- 
tronischer Eingabeelemente (Tl, Tn, NOT_AUS) er- 
zeugt werden und von jedem Erfassungsmittel (EMI, 
EM2) aus den Signaldaten fur Uberwachungszwecke 
zusaizliche Sicherungsdaten erzeugl werden, die eine 
t)berwacbung erm6glichen auf 

- falschen Sender oder false hen Empfanger und/ 
oder 

- Verfalschung der sicherheitsgerichteten Daten 
und/oder 

- Verlust von Daten und/oder 
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- Wiederholung von Daten. 

3. Verfahren nach Anspruch 1 oder 2, dadurch gekenn- 
zeichnet, da8 die Funktibertragung in digitaler Technik 
erfolgt, wobei 

- Signaldaten und Sicherungsdaten zyklisch er- 5 
fafit werden, 

- ein Datenpaket aus den Signaldaten und Siche- 
rungsdaten beider Kanale (Kl, K2) gebildet wird, 
welches durch einen Redundanzwert zur Datensi- 
cherung (CRC) erganzt wird, und io 

- dieses Datenpaket per Funk zur Enupfangerseite 
iibertragen wird. 

4. Verfahren nach Anspruch 1 oder 2 oder 3, dadurch 
gekennzeichnet, daB auf Empfangerseite fiir jedes 
empfangene Datenpaket die 15 

- Signaldaten und Sicherungsdaten beider Ka- 
nale (Kl, K2) wieder getrennt werden, 

- eine Oberprtifung des Redundanzwertes zur 
Datensicherung (CRC) auf Plausibilitat erfolgt, 

- injedemKanal(Kl,K2)em Vergleich der Aus- 20 
wertungsergebnisse erfolgt und 

- bei Korrektheit der Auswertung die empfange- 
nen Signaldaten und Sicherungsdaten fur den je- 
weils zugeordneten Kanal (Kl, K2) zur Verarbei- 
tung der sicherheitsgerichteten Daten und zu 25 
Oberwachungszwecken an die zugeordneten Si- 
gnal verarbeitungsiiiiUel (VM1, VM2) weilerge- 
leitet werden. 

5. Verfahren nach einem der Anspriiche 2 bis 4, da- 
durch gekennzeichnet, daB auf der Empfangerseite in 30 
jedem Kanal die empfangenen Signaldaten und Siche- 
rungsdaten uberwacht werden auf 

- falschcn Sender oder falschcn Empfanger und/ 
oder 

Verfalschung der sicherheitsgerichteten Daten 35 
und/oder 

- VerlusL von Daten und/oder 

- Wiederholung von Daten und/oder 

- Unterbrechung der Obertragung. 

6. Verfahren nach einem der Anspriiche 1 bis 5, da- 40 
durch gekennzeichnet, daB in jedem Kanal (Kl, K2) 
die Funkuonsfahigkeit von Not-Aus- oder Stop-Einga- 
bcmittcln (NOT_AUS) und der zugchorigen Funktion 
der Erfassungsmittel (EMI, EM2) durch eine Zwangs- 
dynamisierung Qberwacht werden. 45 

7. Verfahren nach einem der Anspriiche 3 bis 6, da- 
durch gekennzeichnet, daB jedes Datenpaket zusalzlich 
mit einem Zahlerwert versehen wird, welcher auf Sen- 
derseite erzeugt wird, wobei der Zahlerwert fiir jedes 

zu tibertragende Datenpaket inkrementiert oder dekre- 50 
mentiert wird und der Redundanzwert zur Datensiche- 
rung (CRC) iiber Signaldaten, Sicherungsdaten und 
Zahlerwert gebildet wird. 

8. Verfahren nach einem der Anspriiche 3 bis 7, da- 
durch gekennzeichnet, daB 55 

- auf der Senderseite jedes Datenpaket in einen 
impliziten (1M_T) und einen expliziten (EX_T) 
Datcnfcil getrennt wird, wobei der implizitc Da- 
tenteil (3M_T) solche Daten umfaBt, die auf Emp- 
flingerseite bekannt sind, und 60 

- zur Minimierung des zu iibertragenden Daten- 
volumens nur der explizite Teil (EX_T) des Da- 
renpakets per Funk tibertragen wird und 

- auf der Empfangerseite das Datenpaket aus den 
bekannten Informationen und dem empfangenen 65 
expliziten Teil (EX_T) rekonstruiert wird. 

9. Verfahren zum Autbau einer sicheren Funkdaten- 
vcrbindung nach einem der vorangchenden Anspriiche 



3 bis 8, dadurch gekennzeichnet, daB ein Empfanger 
(E) beim Sender (S) angemeldet wird, indem 

- Kommunikationsadressen fiir Senderseite und 
Empfangerseite fiir jeden Kanal (Kl, K2) eindeu- 
tig festgelegt werden, 

- eine Funkverbindung zwischen Sender (S) und 
Empfanger (E) hergestellt wird, 

- die Kommunikationsadressen zum Empfaiiger 
(E) in Form eines Datenpakets iibertragen werden, 
wobei der Anmeldevorgang abgebrochen wird, 

- wenn eine vorgegebenes Zeitfenster uberschrit- 
ten wird oder 

- ein Verlust oder eine Wiederholung von Daten 
auftritt oder 

- ein kreuzweiser Vergleich zur Aufdeckung ei- 
nes Fehlers fuhrt oder 

- keine Plausibilitat des Redundanzwertes zur 
Datensicherung (CRC) erkannt wird. 

10. Verfahren nach einem der vorstehenden Ansprii- 
che, dadurch gekennzeichnet, daB als sicherheitsge- 
richtete Signale Not-Aus und/oder Not-Halt und/oder 
bewegungsauslosende Signale und/oder ZusUmmungs- 
signale fUr Steuerungszwecke in der Tndustrieautomati- 
sierung vorgesehen sind. 

11. Vorrichtung zur Erfassung, Obertragung und Ver- 
arbeitung sicherheitsgerichteter Signale mit minde- 
stens einem Erfassungsinitlel (EMI, EM2), einer t)ber- 
tragungssrrecke (FM1, F, FM2) und mindestens einem 
Signalverarbeitungsmittel (VM1, VM2), dadurch ge- 
kennzeichnet, daB 

- die Erfassungsmittel (EMI, EM2) fur sicher- 
heitsgerichtete Signale auf einer Senderseite (S) 
physikalisch mindestens zwcikanalig (Kl, K2) 
ausgestaltet sind, 

eine logisch mindestens zweikanalige Funk- 
strecke (F) in sicherer Technik mit je einem Funk- 
modul (FM1, FM2) auf Senderseite (5) und Emp- 
fangerseite (E) vorgesehen ist und 

- die Signalverarbeitungsmittel (VM1, VM2) auf 
der Empangerseite (E) ebenfalls physikalisch 
mindestens zweikanalig (Kl, K2) ausgestaltet 
sind 

12. Vorrichtung nach Anspruch 11, dadurch gekenn- 
zeichnet, daB zur Erzeugung redundanter Signale min- 
destens doppelte elektro mechanise he, elektrische oder 
elektronische Eingabeelemente (Tl, Tn, NOT_AUS) 
vorgesehen sind und die Erfassungsmittel (EMI, EM2) 
so ausgestaltet sind, daB aus den Signaldaten fttr ttber- 
wachungszwecke zusatzliche Sicherungsdaten erzeug- 
bar sind, die eine t)berwachung ermOglichen auf 

- falschen Sender oder falschen Empfanger und/ 
oder 

- Verfalschung der sicherheitsgerichteten Daten 
und/oder 

- Verlust von Daten und/oder 

- Wiederholung von Daten. 

13. Vorrichtung nach Anspruch 11 oder 12, dadurch 
gckcnnzcichncr, daB die Funkiibcrtragung in digitaler 
Technik erfolgt, wobei 

durch die Erfassungsmittel (EMI, EM2) die Si- 
gnaldaten und Sicherungsdaten zyklisch erfaBbar 
sind, 

- ein Sendehaustein (PS) vorgesehen ist, durch 
den ein Datenpaket aus den Signaldaten und Si- 
cherungsdaten beider Kanale (Kl, K2) gebildet 
wird, welches durch einen Redundanzwert zur 
Datensicherung (CRC) erganzt wird, und 

- dieses Datenpaket per Funk zur Empfangerseite 
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uberlragen wird. 

14. VonichLung nach Anspruch 11 oder 12 oder 13, 
dadurch gekennzeichnet, daB auf Empfangerseite mi ri- 
des tens zwei Empfangerbausteine (PI, P2) vorgesehen 
sind, durch die fur jedes empfangene Date rip aket die 5 

- Signaldaten und S icherungsdaten beider Ka- 
nale (Kl, K2) wieder getrennt werden, 

- eine t)berj>rufung des Redundanzwertes zur 
Datensicherung (CRC) auf Rausibilitat erfolgt, 

- injedemKanal(Kl,K2)einVergleichder Aus- io 
wertungsergebnisse erfolgt und 

- bei Korrektheit der Auswertung die empfange- 
nen Signaldaten und Sicherungsdaten fiir den je- 
weils zugeordneten Kanal (Kl, K2) zur Verarbei- 
tung der sicherheitsgerichteten Daten und zu 15 
Uberwachungszwecken an die zugeordneten Si- 
gnalverarbeitungsmittel (VM1, VM2) weiterge- 
leitet werden. 

15. Vorrichtung nach einem der Anspruche 12 bis 14, 
dadurch gekennzeichnet, daB auf der Empfangerseite 20 
Uberwachungsxnittel vorgesehen sind, mitdenen in je- 
dem Kanal die empfangenen Signaldaten und Siche- 
rungsdaten iiberwachbar sind auf 

- falschen Sender oder falschen Empfanger und/ 
oder 25 

- Verfalschung der sicherheitsgerichteten Daten 
und/oder 

- Verlust von Daten und/oder 

- Wiederholung von Daten und/oder 

- Unterbrechung der tJbertragung. 30 

16. Vorrichtung nach Anspruch 15, dadurch gekenn- 
zeichnet, dafl die Kmpfangerbausteine (PI, P2 auch die 
Funktion der Dbcrwachungsmittcl ubcrnchmcn. 

17. Vorrichtung nach einern der Anspruche 11 bis 16, 
dadurch gekennzeichnet, dafi in jedem Kanal (Kl, K2) 35 
die Funktionsfahigkeit von Not-Aus- oder Stop-Einga- 
benrilieln (NOT_AUS) und der zugehorigen Funktion 
der Krfassungsmittel (EMI, HM2) durch Mittel zur 
Zwangsdynarriisierung iiberwacht werden. 

18. Vorrichtung nach einem der Anspruche 13 bis 17, 40 
dadurch gekennzeichnet, daB jedes Datenpaket zusatz- 
lich mit einem Zahlerwert versehen wird, welcher auf 
Scndcrscitc crzcugt wird, wobci der Zahlerwert fur je- 
des zu iibertragende Datenpaket inkrementiert oder de- 
krementiert wird und der Redundanzwert zur Datensi- 45 
cherung (CRQ liber Signaldaten, Sicherungsdaten und 
Zahlerwert gebildet wird. 

19. Vorrichutng nach einem der Anspruche 13 bis 18, 
dadurch gekennzeichnet, daB 

- durch den Sendebaustein (PS) jedes Datenpaket 50 
in einen imphziten (IM_T) und einen expliziten 
(EX_T) Datenteil getrennt wird, wobei der impli- 
zitc Datenteil (IM_T) solchc Daten umfaBt, die 
auf Empfangerseite bekannt sind, und 

- zur Minimierung des zu ubertragenden Daten- 55 
volumens nur der expiizite Teil (EX T) des Da- 
tenpakets per Funk ubertragen wird und 

- durch mindestens einen der Empfangerbau- 
steine (PI, P2) das Datenpaket aus den bekannten 
Informationen und dem empfangenen expliziten 60 
Teil (EXT) rekonstruiert wird. 

20. Industrielle Bearbeiumgsmaschine oder Ferti- 
gungsanlage mit einer Vorrichtung nach einem der An- 
spruche 11 bis 19, insbesondere eine numerisch gestcu- 
erte Werkzeugmaschine oder ein Roboter. 65 
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